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求 》。 
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了 中 


前 


本 标准 按照 GB/T 1.1 一 2009 给 出 的 规则 起 草 。 

本 标准 代替 GB/T 22080 一 2008 信 息 技 术 安 全 技术 信息 安全 管理 体系 要 求 》。 

与 GB/T 22080 一 2008 相 比 ,主要 技术 变化 如 下 : 

一 一 结构 变化 见 附录 NA 

一 一 术语 变化 见 附录 NB。 

本 标准 使 用 翻译 法 等 同 采用 ISO/IEC 27001;2013《 信 息 技术 ”安全 技术 信息 安全 管理 体系 要 


与 本 标准 中 规范 性 引用 的 国际 文件 有 一 致 性 对 应 关系 的 我 国文 件 如 下 : 

一 一 GB/T 29246 一 2012 ”信息 技术 安全 技术 信息 安全 管理 体系 概述 和 词汇 
(ISO/IEC 27000 ;2009 ,IDT) 

本 标准 做 了 下 列 编 辑 性 修改 : 

一 一 增加 了 资料 性 附录 NA; 

一 一 增加 了 资料 性 附录 NB。 

请 注意 本 文件 的 某 些 内 容 可 能 涉及 专利 。 本 文件 的 发 布 机 构 不 承担 识别 这 些 专利 的 责任 。 

本 标准 由 全 国信 息 安 全 标准 化 技术 委员 会 (SAC/TC 260) 提 出 并 归口 。 

本 标准 起 草 单位 :中 国电 子 技术 标准 化 研究 院 、 中 电 长 城 网 际 系统 应 用 有 限 公 司 、 中 国信 息 安 全 认 


证 中 心 .山东 省 标准 化 研究 院 、 广 州 赛 宝 认 证 中 心服 务 有 限 公 司 .北京 江南 天 安 科 技 有 限 公 司 ` 上 海 三 零 
卫士 信息 安全 有 限 公 司 .中 国 合格 评定 国家 认可 中 心 .北京 时 代 新 威信 息 技术 有 限 公司 、 黑 龙 江 电 子 信 
息 产 品 监督 检验 院 .浙江 远 望 电子 有 限 公 司 .杭州 在 信 科技 有 限 公司 。 


本 标准 主要 起 草 人 :上 官 晓 丽 、 许 玉 娜 、 闵 京华 .尤其 、 公 伟 、 卢 列 文 、 倪 文静 、 王 连 强 、 陈 冠 直 、 


于 惊 涛 、 付 志高 . 赵 英 庆 , 卢 普 明 .王曙光 上 钼 仲 华 . 韩 硕 祥 .魏军 . 程 瑜 琦 和 孔 祥 林 、 邬 敏 华 、 李 华 、 李 阳 。 


本 标准 所 代替 标准 的 历次 版 本 发 布 情况 为 : 
一 一 GB/T 22080 一 2008。 
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ml} 
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0.1 总 则 


本 标准 提供 建立 .实现 .维护 和 持续 改进 信息 安全 管理 体系 的 要 求 。 采 用 信息 安全 管理 体系 是 组 织 
的 一 项 战略 性 决策 。 组 织 信息 安全 管理 体系 的 建立 和 实现 受 组 织 的 需要 和 目标 、 安 全 要 求 、 组 织 所 采用 
的 过 程 .规模 和 结构 的 影响 。 所 有 这 些 影响 因素 可 能 随时 间 发 生变 化 。 

信息 安全 管理 体系 通过 应 用 风险 管理 过 程 来 保持 信息 的 保密 性 .完整 性 和 可 用 性 ,并 为 相关 方 树立 
风险 得 到 充分 管理 的 信心 。 

重要 的 是 ,信息 安全 管理 体系 是 组 织 的 过 程 和 整体 管理 结构 的 一 部 分 并 集成 在 其 中 ,并 且 在 过 程 、 
信息 系统 和 控制 的 设计 中 要 考虑 到 信息 安全 。 期 望 的 是 ,信息 安全 管理 体系 的 实现 程度 要 与 组 织 的 需 
要 相符 合 。 

本 标准 可 被 内 部 和 外 部 各 方 用 于 评估 组 织 的 能 力 是 否 满 足 自身 的 信息 安全 要 求 。 

本 标准 中 所 表述 要 求 的 顺序 不 反映 各 要 求 的 重要 性 或 暗示 这 些 要 求 要 予 实现 的 顺序 。 条 款 编号 仅 
为 方便 引用 。 

ISO/IEC 27000 描述 了 信息 安全 管理 体系 的 概要 和 词汇 ,引用 了 信息 安全 管理 体系 标准 族 ( 包 括 
ISO/IEC 270035 .ISO/IEC 2700451 ISO/IEC 27005 转 ) ,以 及 相关 术语 和 定义 。 


0.2 与 其 他 管理 体系 标准 的 兼容 性 


本 标准 应 用 ISO/IEC 合并 导 则 附录 SL 中 定义 的 高 层 结构 、 相同 条 款 标题 .相同 文本 .通用 术语 和 
核心 定义 ,因此 维护 了 与 其 他 采用 附录 SL 的 管理 体系 的 标准 具有 兼容 性 。 

附录 SL 中 定义 的 通用 途径 对 于 选择 运行 单一 管理 体系 来 满足 两 个 或 更 多 管理 体系 标准 要 求 的 组 
织 是 有 用 的 。 
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信息 技术 安全 技术 
信息 安全 管理 体系 ”要求 


1 范围 


本 标准 规定 了 在 组 织 环境 下 建立 .实现 .维护 和 持续 改进 信息 安全 管理 体系 的 要 求 。 本 标准 还 包括 
了 根据 组 织 需求 所 筋 裁 的 信息 安全 风险 评估 和 处 置 的 要 求 。 

本 标准 规定 的 要 求 是 通用 的 ,适用 于 各 种 类 型 .规模 或 性 质 的 组 织 。 当 组 织 声 称 符合 本 标准 时 ,不 
能 排除 第 4 章 到 第 10 章 中 所 规定 的 任何 要 求 。 


2 规范 性 引用 文件 


下 列 文件 对 于 本 文件 的 应 用 是 必 不 可 少 的 。 凡 是 注 日 期 的 引用 文件 , 仅 注 日 期 的 版 本 适用 于 本 文 
件 。 凡 是 不 注 日 期 的 引用 文件 ,其 最 新 版 本 (包括 所 有 的 修改 单 ) 适 用 于 本 文件 。 
ISO/IEC 27000 信息 技术 ”安全 技术 信息 安全 管理 体系 ”概述 和 词汇 (Information technolo- 


gy—Security techniques 一 Information security management Systems 一 Overview and vocabulary) 
3 术语 和 定义 
ISO/IEC 27000 界定 的 术语 和 定义 适用 于 本 文件 。 


4 组 织 环 境 


4.1 理解 组 织 及 其 环境 


组 织 应 确定 与 其 意图 相关 的 , 且 影 响 其 实现 信息 安全 管理 体系 预期 结果 能 力 的 外 部 和 内 部 事项 。 
注 ; 对 这 些 事项 的 确定 ,参见 ISO 31000:20095 ,5.3 中 建立 外 部 和 内 部 环境 的 内 容 。 


理解 相关 方 的 需求 和 期 望 


组 织 应 确定 : 

a) ”信息 安全 管理 体系 相关 方 ; 

b) 这 些 相 关 方 与 信息 安全 相关 的 要 求 。 
注 : 相关 方 的 要 求 可 包括 法 律 .法规 要 求 和 合同 义务 。 


4.3 ”确定 信息 安全 管理 体系 范围 


组 织 应 确定 信息 安全 管理 体系 的 边界 及 其 适用 性 ,以 建立 其 范围 。 

在 确定 范围 时 ,组 织 应 考虑 : 

a) 4.1 中 提 到 的 外 部 和 内 部 事项 ; 

b) 4.2 中 提 到 的 要 求 ; 

c) 组 织 实施 的 活动 之 间 的 及 其 与 其 他 组 织 实施 的 活动 之 间 的 接口 和 依赖 天 系 。 
该 范围 应 形成 文件 化 信息 并 可 用 。 


4. 


DD 
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4.4 信息 安全 管理 体系 
组 织 应 按照 本 标准 的 要 求 ,建立 .实现 .维护 和 持续 改进 信息 安全 管理 体系 。 


5 领导 


5.1 领导 和 承诺 


最 高 管理 层 应 通过 以 下 活动 ,证实 对 信息 安全 管理 体系 的 领导 和 承诺 : 

a) ”确保 建立 了 信息 安全 策略 和 信息 安全 目标 ,并 与 组 织 战略 方向 一 致 ， 
b) 确保 将 信息 安全 管理 体系 要 求 整合 到 组 织 过 程 中 ; 

c) 确保 信息 安全 管理 体系 所 需 资 源 可 用 ; 

d) 沟通 有 效 的 信息 安全 管理 及 符合 信息 安全 管理 体系 要 求 的 重要 性 ; 

e) 确保 信息 安全 管理 体系 达到 预期 结果 ; 

f) ”指导 并 支持 相关 人 员 为 信息 安全 管理 体系 的 有 效 性 做 出 贡献 ，; 

g) 促进 持续 改进 ; 

h) 支持 其 他 相关 管理 角色 ,以 证 实 他 们 的 领导 按 角色 应 用 于 其 责任 范围 。 


5.2 方针 


最 高 管理 层 应 建立 信息 安全 方针 ,该 方针 应 : 

a) 与 组 织 意图 相 适 宜 ; 

b) 包括 信息 安全 目标 ( 见 6.2) 或 为 设 定 信 息 安 全 目标 提供 框架 ; 
c) ”包括 对 满足 适用 的 信息 安全 相关 要 求 的 承诺 ; 

d) 包括 对 持续 改进 信息 安全 管理 体系 的 承诺 。 

信息 安全 方针 应 : 

e) ”形成 文件 化 信息 并 可 用 ; 

f) ”在 组 织 内 得 到 沟通 ; 

g) 适当 时 ,对 相关 方 可 用 。 


5.3 组 织 的 角色 ,责任 和 权限 


最 高 管理 层 应 确保 与 信息 安全 相关 角色 的 责任 和 权限 得 到 分 配 和 沟通 。 
最 高 管理 层 应 分 配 责任 和 权限 ,以 : 

a) 确保 信息 安全 管理 体系 符合 本 标准 的 要 求 ; 

b) 向 最 高 管理 者 报告 信息 安全 管理 体系 绩效 。 

注 : 最 高 管理 层 也 可 为 组 织 内 报告 信息 安全 管理 体系 绩效 ,分 配 责 任 和 权限 。 


6 规划 


6.1 应 对 风险 和 机 会 的 措施 
6.1.1 总 则 


当 规 划 信 息 安 全 管理 体系 时 ,组 织 应 考虑 4.1 中 提 到 的 事项 和 4.2 中 提 到 的 要 求 ,并 确定 需要 应 对 
的 风险 和 机 会 ,以 : 
a) ”确保 信息 安全 管理 体系 可 达到 预期 结果 ; 
2 


by) 
c) 


组 织 


d) 
e) 
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预防 或 减少 不 良 影响 ; 

达到 持续 改进 。 

应 规划 : 

应 对 这 些 风 险 和 机 会 的 措施 ; 

如 何 : 

1) 将 这 些 措 施 整合 到 信息 安全 管理 体系 过 程 中 ,并 予以 实现 ; 
2) 评价 这 些 措施 的 有 效 性 。 


6.1.2 信息 安全 风险 评估 
组 织 应 定义 并 应 用 信息 安全 风险 评 佑 过 程 , 以 : 


a) 


b) 


c) 


d) 


e) 


建立 并 维护 信息 安全 风险 准则 ,包括 : 

1) 风险 接受 准则 ; 

2) 信息 安全 风险 评估 实施 准则 。 

确保 反复 的 信息 安全 风险 评估 产生 一 致 的 .有效 的 和 可 比较 的 结果 。 

识别 信息 安全 风险 : 

1) 应 用 信息 安全 风险 评估 过 程 , 以 识别 信息 安全 管理 体系 范围 内 与 信息 保密 性 .完整 性 和 可 
用 性 损失 有 关 的 风险 ; 

2) 识别 风险 责任 人 。 

分 析 信 息 安全 风险 : 

1) 评估 6.1.2c) 1) 中 所 识别 的 风险 发 生 后 ,可 能 导致 的 潜在 后 末 ; 

2) 评估 6.1.2c) 1) 中 所 识别 的 风险 实际 发 生 的 可 能 性 ; 

3) 确定 风险 级 别 。 

评价 信息 安全 风险 : 

1) 将 风险 分 析 结 果 与 6.1.2a) 中 建立 的 风险 准则 进行 比较 ; 

2) 为 风险 处 置 排序 已 分 析 风 险 的 优先 级 。 


组 织 应 保留 有 关 信 息 安 全 风险 评估 过 程 的 文件 化 信息 。 
6.1.3 信息 安全 风险 处 置 


组 织 


a) 
b) 
注 1: 
c) 
注 2: 
注 3: 


应 定义 并 应 用 信息 安全 风险 处 置 过 程 , 以 : 

在 考虑 风险 评估 结果 的 基础 上 ,选择 适合 的 信息 安全 风险 处 置 选项 ; 

确定 实现 已 选 的 信息 安全 风险 处 置 选项 所 必需 的 所 有 控制 ; 

当 需 要 时 ,组 织 可 设计 控制 ,或 识别 来 自任 何 来 源 的 控制 。 

将 6.1.3b) 确 定 的 控制 与 附录 A 中 的 控制 进行 比较 ,并 验证 没有 忽略 必要 的 控制 ; 

附录 A 包含 了 控制 目标 和 控制 的 综合 列表 。 本 标准 用 户 可 在 附录 A 的 指导 下 ,确保 没有 遗漏 必要 的 控制 。 
控制 目标 隐 含 在 所 选择 的 控制 内 。 附 录 A 所 列 的 控制 目标 和 控制 并 不 是 完备 的 ,可 能 需要 额外 的 控制 目标 
和 控制 。 

制定 一 个 适用 性 声明 ,包含 必要 的 控制 [ 见 6.1.3 bl) 和 c) 及 其 选择 的 合理 性 说 明 (无论 该 控制 
是 否 已 实现 ) ,以 及 对 附录 A 控制 删 减 的 合理 性 说 明 ，; 

制定 正式 的 信息 安全 风险 处 置 计划 ，; 

获得 风险 责任 人 对 信息 安全 风险 处 置 计划 以 及 对 信息 安全 残余 风险 的 接受 的 批准 。 


组 织 应 保留 有 关 信 息 安全 风险 处 置 过 程 的 文件 化 信息 。 


注 4: 


本 标准 中 的 信息 安全 风险 评估 和 处 置 过 程 与 ISO 31000"5 中 给 出 的 原则 和 通用 指南 相 匹 配 。 
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6.2 信息 安全 目标 及 其 实现 规划 


组 织 应 在 相关 职能 和 层级 上 建立 信息 安全 目标 。 
信息 安全 目标 应 : 

a) 与 信息 安全 方针 一 致 ; 

b) 可 测量 (如 可 行 ); 

c) ”考虑 适用 的 信息 安全 要 求 , 以 及 风险 评估 和 风险 处 置 的 结果 ; 
d) 得 到 沟通 ; 

e) 适当 时 更 新 。 

组 织 应 保留 有 关 信 息 安 全 目标 的 文件 化 信息 。 
在 规划 如 何 达 到 信息 安全 目标 时 ,组 织 应 确定 : 
f) 要 做 什么 ; 

g) 需要 什么 资源 ; 

h) 由 谁 负责 ; 

iD) ”什么 时 候 完 成 ; 

j) ”如 何 评 价 结果 。 


7.1 资源 
组 织 应 确定 并 提供 建立 、 实 现 、 维 护 和 持续 改进 信息 安全 管理 体系 所 需 的 资源 。 


7.2 能 力 


组 织 应 : 

a) ”确定 在 组 织 控 制 下 从 事 会 影响 组 织 信息 安全 绩效 的 工作 人 员 的 必要 能 力 ; 
b) 确保 上 述 人 员 在 适当 的 教育 .培训 或 经 验 的 基础 上 能 够 胜任 其 工作 ; 

c) 适用 时 ,采取 措施 以 获得 必要 的 能 力 , 并 评估 所 采取 措施 的 有 效 性 ; 

d) 保留 适当 的 文件 化 信息 作为 能 力 的 证 据 。 

注 : 适用 的 措施 可 包括 ,例如 针对 现 有 雇员 提供 培训 、 指 导 或 重新 分 配 ;雇佣 或 签约 有 能 力 的 人 员 。 


7.3 意识 


在 组 织 控制 下 工作 的 人 员 应 了 解 : 

a) ”信息 安全 方针 ; 

b) 其 对 信息 安全 管理 体系 有 效 性 的 贡献 ,包括 改进 信息 安全 绩效 带 来 的 益处 ; 
c) 不 符合 信息 安全 管理 体系 要 求 带 来 的 影响 。 


7.4 沟通 


组 织 应 确定 与 信息 安全 管理 体系 相关 的 内 部 和 外 部 的 沟通 需求 ,包括 : 
a) ”沟通 什么 ; 

b) 何 时 沟通 ; 

c) 与 谁 沟通 ，; 

d) ” 谁 来 沟通 ; 

e) ”影响 沟通 的 过 程 。 
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7.5 文件 化 信息 
7.5.1 总 则 


组 织 的 信息 安全 管理 体系 应 包括 : 
a) ”本 标准 要 求 的 文件 化 信息 ; 
b) 为 信息 安全 管理 体系 的 有 效 性 ,组 织 所 确定 的 必要 的 文件 化 信息 。 
注 : 不 同 组 织 有 关 信 息 安 全 管理 体系 文件 化 信息 的 详 略 程度 可 以 是 不 同 的 ,这 是 由 于 : 
1) 组 织 的 规模 及 其 活动 .过程 .产品 和 服务 的 类 型 ; 
2) 过程 及 其 相互 作用 的 复杂 性 ; 
3) ”人员 的 能 力 。 


7.5.2 创建 和 更 新 


创建 和 更 新 文件 化 信息 时 ,组 织 应 确保 适当 的 

a) ”标识 和 描述 (例如 标题 \ 日 期 \ 作 者 或 引用 编号 ); 

b) 格式 (例如 语言 .软件 版 本 、 图 表 ) 和 介质 (例如 纸 质 的 .电子 的 ); 
c) ”对 适宜 性 和 充分 性 的 评审 和 批准 。 


7.5.3 文件 化 信息 的 控制 


信息 安全 管理 体系 及 本 标准 所 要 求 的 文件 化 信息 应 得 到 控制 ,以 确保 : 
a) 在 需要 的 地 点 和 时 间 , 是 可 用 的 和 适宜 使 用 的 ; 

b) 得 到 充分 的 保护 (如 避免 保密 性 损失 ,不 恰当 使 用 ,完整 性 损失 等 ) 。 
为 控制 文件 化 信息 ,适用 时 ,组 织 应 强调 以 下 活动 : 

c) 分 发 ,访问 ,检索 和 使 用 ; 

d) ”存储 和 保护 ,包括 保持 可 读 性 ; 

e) ”控制 变更 (例如 版 本 控制 ); 


f) ”保留 和 处 理 。 
组 织 确 定 的 为 规划 和 运行 信息 安全 管理 体系 所 必需 的 外 来 的 文件 化 信息 ,应 得 到 适当 的 识别 ,并 子 
以 控制 。 


注 : 访问 隐 含 着 仅 允许 浏览 文件 化 信息 ,或 允许 和 授权 浏览 及 更 改 文件 化 信息 等 决定 。 
8 运行 


8.1 运行 规划 和 控制 


为 了 满足 信息 安全 要 求 以 及 实现 6.1 中 确定 的 措施 ,组织 应 规划 .实现 和 控制 所 需要 的 过 程 。 组 织 
还 应 实现 为 达到 6.2 中 确定 的 信息 安全 目标 一 系列 计划 。 

组 织 应 保持 文件 化 信息 达到 必要 的 程度 ,以 确信 这 些 过 程 按 计 划 得 到 执行 。 

组 织 应 控制 计划 内 的 变更 并 评审 非 预 期 变更 的 后 果 , 必 要 时 采取 措施 减轻 任何 负面 影响 。 

组 织 应 确保 外 包 过 程 是 确定 的 和 受 控 的 。 


8.2 ”信息 安全 风险 评估 


组 织 应 考虑 6.1.2a) 所 建立 的 准则 , 按 计划 的 时 间 间 隔 , 或 当 重大 变更 提出 或 发 生 时 ,执行 信息 安全 


风险 评估 。 
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8.3 


9 


33l 


9:2 


9.3 


组 织 应 保留 信息 安全 风险 评估 结果 的 文件 化 信息 。 
信息 安全 风险 处 置 


组 织 应 实现 信息 安全 风险 处 置 计划 。 
组 织 应 保留 信息 安全 风险 处 置 结果 的 文件 化 信息 。 


绩效 评价 


监视 .测量 .分 析 和 评价 


组 织 应 评价 信息 安全 绩效 以 及 信息 安全 管理 体系 的 有 效 性 。 
组 织 应 确定 : 

a) 需要 被 监视 和 测量 的 内 容 , 包 括 信息 安全 过 程 和 控制 ; 

b) 适用 的 监视 ,测量 ,分析 和 评价 的 方法 ,以 确保 得 到 有 效 的 结果 ; 
注 : 所 选 的 方法 宜 产 生 可 比较 和 可 再 现 的 有 效 结 果 。 

c) 人 和 何 时 应 执行 监视 和 测量 ; 

d) 谁 应 监视 和 测量 ; 

e) 人 和 何 时 应 分 析 和 评价 监视 和 测量 的 结果 ; 

f{) ” 谁 应 分 析 和 评价 这 些 结果 ， 

组 织 应 保留 适当 的 文件 化 信息 作为 监视 和 测量 结果 的 证 据 。 


内 部 审核 
组 织 应 按 计划 的 时 间 间 隔 进 行内 部 审核 ,以 提供 信息 ,确定 信息 安全 管理 体系 : 
a) 是 否 符合 : 


1) 组 织 自身 对 信息 安全 管理 体系 的 要 求 ; 
2) 本 标准 的 要 求 。 

b) 是否 得 到 有 效 实现 和 维护 。 

组 织 应 : 

c) 规划 ,建立 .实现 和 维护 审核 方案 (一 个 或 多 个 ) ,包括 审核 频次 方法 .责任 .规划 要 求 和 报告 。 
审核 方案 应 考虑 相关 过 程 的 重要 性 和 以 往 审 核 的 结果 。 

d) 定义 每 次 审核 的 审核 准则 和 范围 。 

e) 选择 审核 员 并 实施 审核 ,确保 审核 过 程 的 客观 性 和 公正 性 。 

{) ”确保 将 审核 结果 报告 至 相关 管理 层 ，。 

g) 保留 文件 化 信息 作为 审核 方案 和 审核 结果 的 证 据 。 


管理 评审 
最 高 管理 层 应 按 计划 的 时 间 间 隔 评审 组 织 的 信息 安全 管理 体系 ,以 确保 其 持续 的 适宜 性 .充分 性 和 


有 效 性 。 


管理 评审 应 考虑 : 
a) 以往 管 理 评审 提出 的 措施 的 状态 ; 
b) 与 信息 安全 管理 体系 相关 的 外 部 和 内 部 事项 的 变化 ; 
c) 有关 信息 安全 绩效 的 反馈 ,包括 以 下 方面 的 趋势 : 
1) 不 符合 和 纠正 措施 ; 
2) 监视 和 测量 结果 
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3) 审核 结果 ; 
4) 信息 安全 目标 完成 情况 ; 
d) 相关 方 反 馈 ; 
e) 风险 评估 结果 及 风险 处 置 计 划 的 状态 ; 
f) ”持续 改进 的 机 会 。 
管理 评审 的 输出 应 包括 与 持续 改进 机 会 相关 的 决定 以 及 变更 信息 安全 管理 体系 的 任何 需求 。 
组 织 应 保留 文件 化 信息 作为 管理 评审 结果 的 证 据 。 


10 ”改进 


10.1 不 符合 及 纠正 措施 


当 发 生 不 符合 时 ,组 织 应 : 
a) 对 不 符合 做 出 反应 ,适用 时 : 
1) 采取 措施 ,以 控制 并 予以 纠正 ; 


2) 处 理 后 果 ; 
b) 通过 以 下 活动 ,评价 采取 消除 不 符合 原因 的 措施 的 需求 ,以 防止 不 符合 再 发 生 ,或 在 其 他 地 方 
发 生 : 


1) 评审 不 符合 ; 
2) 确定 不 符合 的 原因 ; 
3) ”确定 类 似 的 不 符合 是 否 存 在 ,或 可 能 发 生 ; 
c) ”实现 任何 需要 的 措施 ; 
d) 评审 任何 所 采取 的 纠正 措施 的 有 效 性 ; 
e) 必要 时 ,对 信息 安全 管理 体系 进行 变更 。 
纠正 措施 应 与 所 遇 到 的 不 符合 的 影响 相 适 合 。 
组 织 应 保留 文件 化 信息 作为 以 下 方面 的 证 据 : 
f) ”不 符合 的 性 质 及 所 采取 的 任何 后 续 措 施 ; 
g) 任何 纠正 措施 的 结果 。 


10.2 持续 改进 
组 织 应 持续 改进 信息 安全 管理 体系 的 适宜 性 、 充 分 性 和 有 效 性 。 
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附 录 A 
(规范 性 附录 ) 
参考 控制 目标 和 控制 
表 A.1 所 列 的 控制 目标 和 控制 是 直接 源 自 并 与 GB/T 22081 一 2016 中 第 5 章 一 第 18 章 相 对 应 ,并 
在 6.1.3 环境 中 被 使 用 。 


表 A.1 控制 目标 和 控制 
A.5 信息 安全 策略 


A.5.1 信息 安全 管理 指导 
目标 :依据 业务 要 求 和 相关 法 律 法 规 ,为 信息 安全 提供 管理 指导 和 支持 











控制 

A.5.1.1 信息 安全 策略 信息 安全 策略 集 应 被 定义 ,由 管理 者 批准 ,并 发 布 . 传 达 给 所 有 员工 
和 外 部 相关 方 。 
控制 

A.5.1.2 信息 安全 策略 的 评审 应 按 计划 的 时 间 间 隔 或 当 重 大 变化 发 生 时 进行 信息 安全 策略 评审 ， 





以 确保 其 持续 的 适宜 性 、 充 分 性 和 有 效 性 。 


A.6 信息 安全 组 织 


A.6.1 内 部 组 织 












目标 :建立 一 个 管理 框架 ,以 启动 和 控制 组 织 内 信息 安全 的 实现 和 运行 
A.6.1.1 信息 安全 的 角色 和 责任 ee 
0 谤 所 有 的 信息 安全 责任 应 予以 定义 和 分 配 。 
控制 
A.6.1.2 职责 分 离 应 分 离 冲突 的 职责 及 其 责任 范围 ,以 减少 未 授权 或 无 意 的 修改 或 者 
不 当 使 用 组 织 资产 的 机 会 。 
控制 
A.6.1.3 与 职 S 
A.6.1.4 与 特定 相关 方 的 联系 | 
应 维护 与 特定 相关 方 .其 他 专业 安全 论坛 和 专业 协会 的 适当 联系 。 
A.6.1.5 项 目 管理 中 的 信息 安全 A 
应 关注 项 目 管理 中 的 信息 安全 问题 ,无 论 何 种 类 型 的 项 目 。 
A.6.2 ”移动 设备 和 远程 工作 
目标 :确保 移动 设备 远程 工作 及 其 使 用 的 安全 。 








控制 
A.6.2.1 移动 设备 策略 应 采用 相应 的 策略 及 其 支持 性 的 安全 措施 以 管理 由 于 使 用 移动 设 
备 所 带 来 的 风险 ，。 


控制 
A.6.2.2 远程 工作 应 实现 相应 的 策略 及 其 支持 性 的 安全 措施 ,以 保护 在 远程 工作 地 点 
上 所 访问 的 .处 理 的 或 存储 的 信息 。 





A.7 人 力 资源 安全 
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表 A.1 ( 续 ) 





A.7.1 任用 前 





目标 ;确保 员工 和 合同 方 理解 其 责任 ,并 适合 其 角色 





> 
~ 
| 一 
[0 


A.7.1.2 任用 条 款 及 条 件 


A.7.2 任用 中 


巷 制 

应 按照 相关 法 律 法 规 和 道德 规范 ,对 所 有 任用 候选 者 的 背景 进行 验 
证 核查 ,并 与 业务 要 求 .访问 信息 的 等 级 和 察觉 的 风险 相 适 宜 

巷 制 

应 在 员工 和 合同 方 的 合同 协议 中 声明 他 们 和 组 织 对 信息 安全 的 
责任 。 








A.7.2.1 


人 2722 


A.7.2.3 






目标 :确保 员工 和 合同 方 意识 到 并 履行 其 信息 安全 责任 。 








管理 责任 








信息 安全 意识 .教育 和 培训 


违规 处 理 过 程 


控制 
管理 者 应 宜 要 求 所 有 员工 和 合同 方 按照 组 织 已 建立 的 策略 和 规程 
应 用 信息 安全 。 


控制 
组 织 所 有 员工 和 相关 的 合同 方 ,应 按 其 工作 职能 ,接受 适当 的 意识 
教育 和 培训 ,及 组 织 策略 及 规程 的 定期 更 新 的 信息 。 
挫 制 
应 有 正式 的 、 且 已 被 传达 的 违规 处 理 过 程 以 对 信息 安全 违规 的 员工 
采取 措施 。 














A.7.3 任用 的 终止 和 变更 





目标 :在 任用 变更 或 终止 过 程 中 保护 组 织 的 利益 。 


A dl 


任用 终止 或 变更 的 责任 


A.8 资产 管理 


花 制 
应 确定 任用 终止 或 变更 后 仍 有 效 的 信息 安全 责任 及 其 职责 ,传达 至 
员工 或 合同 方 并 执行 。 








A.8.1 有 关 资 产 的 责任 





目标 :识别 组 织 资产 并 定义 适当 的 保护 责任 。 


A.8.1.4 


A.8.1.1 资产 清单 


A.8.1.2 资产 的 所 属 关系 


A.8.1.3 资产 的 可 接受 使 用 







控制 
应 识别 信息 ,以 及 与 信息 和 信息 处 理 设施 相关 的 其 他 资产 ,并 编制 
和 维护 这 些 资产 的 清单 。 


控制 
应 维护 资产 清单 中 资产 的 所 属 关系 。 








控制 
应 识别 可 接受 的 信息 使 用 规则 ,以 及 与 信息 和 信息 处 理 设施 有 关 的 
资产 的 可 接受 的 使 用 规则 ,形成 文件 并 加 以 实现 。 
控制 

所 有 员工 和 外 部 用 户 在 任用 、 合 同 或 协议 终止 时 ,应 归还 其 鼎 用 的 
所 有 组 织 资产 。 
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表 A.1 ( 续 ) 
A.8.2 ”信息 分 级 
目标 :确保 信息 按照 其 对 组 织 的 重要 程度 受到 适当 水 平 的 保护 。 
控制 
A.8.2.1 信息 的 分 级 信息 应 按照 法 律 要 求 、 价 值 . 重 要 性 及 其 对 未 授权 泄露 或 修改 的 敏 
感性 进行 分 级 。 
榨 制 
A.8.2.2 信息 的 标记 应 按照 组 织 采 用 的 信息 分 级 方案 ,制定 并 实现 一 组 适当 的 信息 标记 
规程 。 






臣 制 
应 按照 组 织 采用 的 信息 分 级 方案 ,制定 并 实现 资产 处 理 规程 。 


A.8.3 介质 处 理 
目标 :防止 存储 在 介质 中 的 信息 遭受 未 授权 的 泄露 .修改 、 移 除 或 破坏 。 


应 按照 组 织 采用 的 分 级 方案 ,实现 移动 介质 管理 规程 。 


控制 
介质 的 处 置 应 使 用 正式 的 规程 安全 地 处 置 不 再 需要 的 介质 。 


答 创 
人 包含 信息 的 介质 在 运送 中 应 受到 保护 ,以 防止 未 授权 访问 .不 当 使 
用 或 毁坏 。 


A.9 访问 控制 
A.9.1 访问 控制 的 业务 要 求 
目标 :限制 对 信息 和 信息 处 理 设 施 的 访问 。 


网 络 和 网 络 服务 的 访问 


A.9.2 ”用户 访问 管理 
目标 :确保 授权 用 户 对 系统 和 服务 的 访问 ,并 防止 未 授权 的 访问 。 


应 实现 正式 的 用 户 注册 及 注销 过 程 ,以 便 可 分 配 访问 权 。 
用 户 访 问 供给 

























控制 
应 基于 业务 和 信息 安全 要 求 ,建立 访问 控制 策略 ,形成 文件 并 进行 
评审 。 
控制 
应 仅 向 用 户 提供 他 们 已 获 专 门 授权 使 用 的 网 络 和 网 络 服务 的 访问 ， 























控制 
应 对 所 有 系统 和 服务 的 所 有 类 型 用 户 ,实现 一 个 正式 的 用 户 访 问 供 
给 过 程 以 分 配 或 撤销 访问 权 。 


榨 制 


A.9.2.3 I 午 访 刘 
We 人 应 限制 并 控制 特许 访问 权 的 分 配 和 使 用 
A.9.2.4 用 户 的 秘密 鉴别 信息 管理 雁 制 
应 通过 正式 的 管理 过 程控 制 秘密 鉴别 信息 的 分 配 。 


10 





A 202 







A.9.2.5 


A.9.2.6 


用 户 访问 权 的 评审 


访问 权 的 移 除 或 调整 







A.9.3 ”用户 责任 
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表 A.1 ( 续 ) 


巷 制 

资产 拥有 者 应 定期 对 用 户 的 访问 权 进 行 评 审 。 
巷 制 
所 有 员工 和 外 部 用 户 对 信息 和 信息 处 理 设施 的 访问 权 在 任用 、 合 同 
或 协议 终止 时 ,应 予以 移 除 , 或 在 变更 时 予以 调整 。 












目标 :让 用 户 承 担保 护 其 鉴别 信息 的 责任 。 


入 ,3953 本 





秘密 鉴别 信息 的 使 用 


A.9.4 系统 和 应 用 访问 控制 
目标 :防止 对 系统 和 应 用 的 未 授权 访问 。 


A.9.4.1 


A.9.4.2 


A.9.4.3 


A.9.4.4 


信息 访问 限制 


安全 登录 规程 


口令 管理 系统 


特权 实用 程序 的 使 用 






花 制 
应 要 求 用 户 遵循 组 织 在 使 用 秘密 鉴别 信息 时 的 惯例 。 


巷 制 

应 按照 访问 控制 策略 限制 对 信息 和 应 用 系统 功能 的 访问 。 

巷 制 

当 访问 控制 策略 要 求 时 ,应 通过 安全 登录 规程 控制 对 系统 和 应 用 的 
访问 。 

芒 制 

口令 管理 系统 应 是 交互 式 的 ,并 应 确保 优质 的 口令 。 

巷 制 

对 于 可 能 超越 系统 和 应 用 控制 的 实用 程序 的 使 用 应 予以 限制 并 严 
格 控 制 。 











控制 
A.9.4.5 > i 方 后 
和 应 限制 对 程序 源 代码 的 访问 。 
A.10 密码 
A.10.1 密码 控制 








目标 :确保 适当 和 有 效 地 使 用 密码 技术 以 保护 信息 的 保密 性 、 真 实 性 和 (或 ) 完 整 性 。 


A.10.1.1 


A.10.1.2 


密码 控制 的 使 用 策略 


密 钥 管理 


A.11 物理 和 环境 安全 


控制 

应 开发 和 实现 用 于 保护 信息 的 密码 控制 使 用 策略 。 

巷 制 

应 制定 和 实现 贯穿 其 全 生命 周期 的 密 钥 使 用 .保护 和 生存 期 策略 。 








A.11.1 安全 区 域 


A.11.1.1 


A.11.1.2 


目标 :防止 对 组 织 信息 和 信息 处 理 设 施 的 未 授权 物理 访问 、 损 坏 和 干扰 。 


物理 安全 边界 
物理 和 人口 控制 















控制 
应 定义 和 使 用 安全 边界 来 保护 包含 敏感 或 关键 信息 和 信息 处 理 设 
施 的 区 域 。 
巷 制 
安全 区 域 应 由 适合 的 人 口 控制 所 保护 ,以 确保 只 有 授权 的 人 员 才 多 
许 访问 。 
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表 A.1 ( 续 ) 


磁 抽 
A.11.1. 办 公 、 L i 
下 全 宫 、 忆 同和 次 施 的 雪人 多 保护 应 为 办 公 室 ,房间 和 设施 设计 并 采取 物理 安全 措施 。 
A.11.1.4 外 部 和 环境 威胁 的 安全 防护 
人 应 设计 和 应 用 物理 保护 以 防 自 然 灾 害 、 恶 意 攻击 和 意外 。 
A.11.1. 
人 0 


检 制 
A.11.1.6 交接 区 


访问 点 (例如 交接 区 ) 和 未 授权 人 员 可 进入 的 其 他 点 应 加 以 控制 ,如 
A.11.2 设备 


果 可 能 ,应 与 信息 处 理 设施 隔离 ,以 避免 未 授权 访问 。 
目标 :防止 资产 的 丢失 ,损坏 、 失 贸 或 危及 资产 安全 以 及 组 织 活动 的 中 断 。 


管制 
A.11.2.1 设备 安置 和 保护 应 安置 或 保护 设备 ,以 减少 由 环境 威胁 和 危险 所 造成 的 各 种 风险 以 
及 未 授权 访问 的 机 会 。 
起 制 
应 保护 设备 使 其 免 于 由 支持 性 设施 的 失效 而 引起 的 电源 故障 和 其 
他 中 断 。 


条 制 

A.11.2.3 应 保证 传输 数据 或 支持 信息 服务 的 电源 布 缆 和 通信 布 缆 免 受 窃听 、 
干扰 或 损坏 
臣 制 

A.11.2.4 

ee 人 设备 应 予以 正确 地 维护 ,以 确保 其 持续 的 可 用 性 和 完整 性 。 

A.11.2.5 

ns 0 信息 或 软件 在 授权 之 前 不 应 带 出 组 织 场所 。 


巷 制 
组 织 场 所 外 的 设备 与 资产 安全 | 应 对 组 织 场所 外 的 资产 采取 安全 措施 ,要 考虑 工作 在 组 织 场所 外 的 















不 同 风险 
起 制 

A.11.2.7 设备 的 安全 处 置 或 再 利用 包含 储存 介质 的 设备 的 所 有 部 分 应 进行 核查 ,以 确保 在 处 置 或 再 利 
用 之 前 ,任何 敏感 信息 和 注册 软件 已 被 删除 或 安全 的 重 写 。 


挫 抽 
ea 无 
sa 用 户 应 确保 无 人 值守 的 用 户 设备 有 适当 的 保护 。 
控制 
A.11.2.9 清理 桌面 和 屏幕 策略 


应 针对 纸 质 和 可 移动 存储 介质 ,采取 清理 桌面 策略 ;应 针对 信息 处 
理 设 施 ,采用 清理 屏幕 策略 。 

A.12 运行 安 

A.12.1 运行 规程 和 责任 


目标 :确保 正确 .安全 的 运行 信息 处 理 设施 。 


榨 制 
A.12.1.1 文件 化 的 操作 规程 
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表 A.1 ( 续 ) 















控制 
应 控制 影响 信息 安全 的 变更 ,包括 组 织 、 业 务 过 程 、 信 息 处 理 设施 和 
系统 变更 。 
盘 制 
应 对 资源 的 使 用 进行 监视 ,调整 和 预测 未 来 的 容量 需求 ,以 确保 所 
需 的 系统 性 能 。 
控制 
应 分 离开 发 .测试 和 运行 环境 ,以 降低 对 运行 环境 未 授权 访问 或 变 
更 的 风险 。 



















开发 .测试 和 运行 环境 的 分 离 


A.12.1.4 


A.12.2 恶意 软件 防范 
目标 :确保 信息 和 信息 处 理 设 施 防范 恶意 软件 。 













控制 






恶意 软件 的 控制 








A.12.2.1 应 实现 检测 .预防 和 恢复 控制 以 防范 恶意 软件 ,并 结合 适当 的 用 户 
意识 教育 。 

A.12.3 备份 

目标 :防止 数据 丢失 
花 制 

A.12.3.1 应 按照 既定 的 备份 策略 ,对 信息 、 软 件 和 系统 镜像 进行 备份 ,并 定期 





测试 。 





A.12.4 日 志和 监视 
目标 :记录 事态 并 生成 证 据 。 


管理 员 和 操作 员 日 ; 


时 钟 同 步 





















巷 制 
应 产生 .保持 并 定期 评审 记录 用 户 活动 .异常 .错误 和 信息 安全 事态 
的 事态 日 志 。 
花 人 制 
记录 日 志 的 设施 和 日 志 信息 应 加 以 保护 ,以 防止 得 改 和 未 授权 的 
访问 。 
花 制 
系统 管理 员 和 系统 操作 员 活 动 应 记 人 日 志 , 并 对 日 志 进 行 保护 和 定 
期 评审 。 
控制 
一 个 组 织 或 安全 域内 的 所 有 相关 信息 处 理 设 施 的 时 钟 , 应 与 单一 一 
个 基准 的 时 间 源 同步 。 






日 志 信息 的 保护 
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A.12.4.4 









A.12.5 运行 软件 控制 
目标 :确保 运行 系统 的 完整 性 。 


2 控制 
I 应 实现 运行 系统 软件 安装 控制 规程 。 


A.12.6 ”技术 方面 的 脆弱 性 管理 


目标 :防止 对 技术 脆弱 性 的 利用 。 
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技术 方面 脆弱 性 的 管理 


A.12.7 信息 系统 审计 的 考虑 


表 A.1 ( 续 ) 


埠 制 
应 及 时 获取 在 用 的 信息 系统 的 技术 方面 的 脆弱 性 信息 ,评价 组 织 对 
这 些 脆弱 性 的 歇 露 状况 并 采取 适当 的 措施 来 应 对 相关 风险 。 


巷 制 
应 建立 并 实现 控制 用 户 安装 软件 的 规则 。 














巷 制 
涉及 运行 系统 验证 的 审计 要 求 和 活动 ,应 谨慎 地 加 以 规划 并 取得 批 
准 , 以 便 最 小 化 业务 过 程 的 中 断 。 





A.13 通信 安全 


A.13.1 网 络 安全 管理 





目标 :确保 网 络 中 的 信息 及 其 支持 性 的 信息 处 理 设 施 得 到 保护 。 


应 管理 和 控制 网 络 以 保护 系统 和 应 用 中 的 信息 。 
巷 制 
网 络 服务 的 安全 


所 有 网 络 服务 的 安全 机 制服 务 级 别 和 管理 要 求 应 予以 确定 并 包括 
在 网 络 服务 协议 中 ,无 论 这 些 服务 是 由 内 部 提供 的 还 是 外 包 的 。 

A.13.2 信息 传输 

目标 :维护 在 组 织 内 及 与 外 部 实体 间 传 输 信息 的 安全 。 


巷 制 
芒 创 

A.13.2.1 信息 传输 策略 和 规程 应 有 正式 的 传输 策略 .规程 和 控制 ,以 保护 通过 使 用 各 种 类 型 通信 
设施 进行 的 信息 传输 。 





















应 在 网 络 中 隔离 信息 服务 .用户 及 信息 系统 。 
控制 

A.13.2.2 言 

人 协议 应 解决 组 织 与 外 部 方 之 间 业 务 信息 的 安全 传输 。 

控制 

A.13.2.3 子 消息 发 i 

a 和 应 适当 保护 包含 在 电子 消息 发 送 中 的 信息 。 
控制 

A.13.2.4 “| 保密 或 不 泄露 协议 应 识别 .定期 评审 和 文件 化 反映 组 织 信息 保护 需要 的 保密 性 或 不 洪 


露 协议 的 要 求 。 





A.14 系统 获取 、 开 发 和 维护 
A.14.1 信息 系统 的 安全 要 求 


目标 :确保 信息 安全 是 信息 系统 整个 生命 周期 中 的 一 个 有 机 组 成 部 分 。 这 也 包括 提供 公共 网 络 服 务 的 信息 系统 的 
要 求 


芒 制 


信息 安全 要 求 分 析 和 说 明 新 建 信息 系统 或 增强 现 有 信息 系统 的 要 求 中 应 包括 信息 安全 相关 
要 求 。 
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表 A.1 ( 续 ) 
















挫 制 
应 保护 在 公共 网 络 上 的 应 用 服务 中 的 信息 以 防止 欺诈 行为 .合同 纠 
纷 以 及 未 经 授权 的 泄露 和 修改 。 
花 制 
应 保护 应 用 服务 事务 中 的 信息 ,以 防止 不 完整 的 传输 、 错 误 路 由 、 未 
授权 的 消息 变更 .未 授权 的 泄露 .未 授权 的 消息 复制 或 重 放 。 






公共 网 络 上 应 用 服务 的 安全 
保护 


A.14.1.2 











A.14.1.3 应 用 服务 事务 的 保护 








A.14.2 ”开发 和 支持 过 程 中 的 安全 
目标 :确保 信息 安全 在 信息 系统 开发 生命 周期 中 得 到 设计 和 实现 。 


控制 
A.14.2.1 
Se 针对 组 织 内 的 开发 ,应 建立 软件 和 系统 开发 规则 并 应 用 。 
A.14.2.2 | 系统 变更 控制 规程 Wy 
应 使 用 正式 的 变更 控制 规程 来 控制 开发 生命 周期 内 的 系统 变更 。 
运行 平台 变更 


花 制 
后 对 应 
对 应 用 的 撤 太 | 当 运行 平台 发 生变 更 时 ,应 对 业务 的 关键 应 用 进行 评审 和 测试, 以 


确保 对 组 织 的 运行 和 安全 没有 负面 影响 。 
花 制 
应 不 鼓励 对 软件 包 进 行 修改 , 仅 限 于 必要 的 变更 , 且 对 所 有 变更 加 
以 严格 控制 
巷 制 
应 建立 .文件 化 和 维护 系统 安全 工程 原则 ,并 应 用 到 任何 信息 系统 
实现 工作 中 
巷 制 









A.14.2.3 


评审 
A.14.2.4 | 软件 包 变更 的 限制 


A.14.2.5 系统 安全 工程 原则 
组 织 应 针对 覆盖 系统 开发 生命 周期 的 系统 开发 和 集成 活动 ,建立 安 


A.14.2.6 安全 的 开发 环境 
全 开发 环境 ,并 予以 适当 保护 。 
控制 
A.14.2. 
14.2.7 | 外 包 开发 组 织 应 督导 和 监视 外 包 系 统 开发 活动 
制 


下 
A.14.2.8 5 
系统 安全 测试 应 在 开发 过 程 中 进行 安全 功能 测试 。 


这 制 
| 应 建立 对 新 的 信息 系统 .升级 及 新 版 本 的 验收 测试 方案 和 相关 准则 。 


A.14.3 测试 数据 


目标 :确保 用 于 测试 的 数据 得 到 保护 。 


控制 
A.14.3.1 | 测试 数据 的 保护 测试 数据 应 认真 地 加 以 选择 ,保护 和 控制 。 


A.15 供应 商 关 系 
A.15.1 供应 商 关 系 中 的 信息 安全 
目标 :确保 供应 商 可 访问 的 组 织 资产 得 到 保护 


控制 
A.15.1.1 供应 商 关 系 的 信息 安全 策略 为 降低 供应 商 访 问 组 织 资产 的 相关 风险 ,应 与 供应 商 就 信息 安全 要 
求 达 成 一 致 ,并 形成 文件 
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表 A.1 ( 续 ) 










巷 制 
应 与 每 个 可 能 访问 ,处理 ,存储 ,传递 组 织 信息 或 为 组 织 信息 担 供 IT 
基础 设施 组 件 的 供应 商 建 立 所 有 相关 的 信息 安全 要 求 , 并 达成 
一 致 。 





在 供应 商 协 议 中 强调 安全 





A.15.1.2 












信息 与 通信 技术 供应 链 





供应 商 协议 应 包括 信息 与 通信 技术 服务 以 及 产品 供应 链 相 关 的 信 
息 安 全 风险 处 理 要 求 。 


A.15.2 供应 商 服务 交付 管理 
目标 :维护 与 供应 商 协议 一 致 的 信息 安全 和 服务 交付 的 商定 级 别 。 


控制 
组 织 应 定期 监视 .评审 和 审核 供应 商 服 务 交 付 。 


巷 制 
应 管理 供应 商 所 提供 服务 的 变更 ,包括 维护 和 改进 现 有 的 信息 安全 
策略 .规程 和 控制 ,管理 应 考虑 变更 涉及 到 的 业务 信息 、 系 统 和 过 程 
的 关键 程度 及 风险 的 再 评估 。 






A.15.2.1 供应 商 服务 的 监视 和 评审 








A.15.2.2 供应 商 服务 的 变更 管理 











A.16 信息 安全 事件 管理 
A.16.1 信息 安全 事件 的 管理 和 改进 





目标 :确保 采用 一 致 和 有 效 的 方法 对 信息 安全 事件 进行 管理 ,包括 对 安全 事态 和 弱点 的 沟通 。 


楷 制 
A.16.1.1 责任 和 规程 应 建立 管理 责任 和 规程 ,以 确保 快速 .有 效 和 有 序 地 响应 信息 安全 
事件 。 
楷 制 
A.16.1.2 告 信息 态 
人 应 通过 适当 的 管理 渠道 尽快 地 报告 信息 安全 事态 。 










起 件 
应 要 求 使 用 组 织 信息 系统 和 服务 的 员工 和 合同 方 注意 并 报告 任何 
观察 到 的 或 可 疑 的 系统 或 服务 中 的 信息 安全 弱点 。 
控制 
应 评估 信息 安全 事态 并 决定 其 是 否 属于 信息 安全 事件 。 


榜 制 
应 按照 文件 化 的 规程 响应 信息 安全 事件 。 


巷 制 

应 利用 在 分 析 和 解决 信息 安全 事件 中 得 到 的 知识 来 减少 未 来 事件 
发 生 的 可 能 性 和 影响 。 

控制 

A.16.1.7 证 据 的 收集 组 织 应 确定 和 应 用 规程 来 识别 .收集 .获取 和 保存 可 用 作证 据 的 
信息 。 





A.16.1.3 报告 信息 安全 弱点 


A.16.1.4 信息 安全 事态 的 评估 和 决策 


A.16.1.5 信息 安全 事件 的 响应 
















A.16.1.6 从 信息 安全 事件 中 学 习 


A.17 业务 连续 性 管理 的 信息 安全 方面 
A.17.1 信息 安全 的 连续 性 
目标 :应 将 信息 安全 连续 性 纳 和 组织 业务 连续 性 管理 之 中 。 


A.17.1.1 规划 信息 安全 连续 性 
A.17.1.2 实现 信息 安全 连续 性 


验证 ,评审 和 评价 信息 安全 连 






A.17.1.3 


续 性 
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表 A.1 ( 续 ) 











控制 
组 织 应 确定 在 不 利 情况 (如 危机 或 灾难 ) 下 ,对 信息 安全 及 信息 安全 
管理 连续 性 的 要 求 。 


花 制 
组 织 应 建立 .文件 化 .实现 并 维护 过 程 .规程 和 控制 ,以 确保 在 不 利 
情况 下 信息 安全 连续 性 达到 要 求 的 级 别 。 
臣 制 
组 织 应 定期 验证 已 建立 和 实现 的 信息 安全 连续 性 控制 ,以 确保 这 些 
控制 在 不 利 情 况 下 是 正当 和 有 效 的 。 























目标 :确保 信息 处 理 设施 的 可 用 性 。 


A.17.2.1 信息 处 理 设施 的 可 用 性 


控制 
信息 处 理 设施 应 当 实现 元 余 , 以 满足 可 用 性 要 求 。 





A.18 符合 性 





A.18.1 符合 法 律 和 合同 要 求 


A.18.1.1 


A.18.1.2 


A.18.1.3 记录 的 保护 


隐私 和 个 人 可 识别 信息 保护 


A.18.1.4 





A.18.1.5 


目标 ;避免 违反 与 信息 安全 有 关 的 法 律 法规. 规章 或 合同 义务 以 及 任何 安全 有 要求。 











适用 的 法 律 和 合同 要 求 的 识别 










知识 产权 


密码 控制 规则 


A.18.2 信息 安全 评审 






控制 
对 每 一 个 信息 系统 和 组 织 而 言 ,所 有 相关 的 法 律 法规、 规章 和 合同 
要 求 ,以 及 为 满足 这 些 要 求 组织 所 采用 的 方法 ,应 加 以 明确 地 定义 、 
形成 文件 并 保持 更 新 。 


控制 
应 实现 适当 的 规程 ,以 确保 在 使 用 具有 知识 产权 的 材料 和 具有 所 有 
权 的 软件 产品 时 ,符合 法 律 法规 和 合同 的 要 求 。 


控制 
应 根据 法 律 法规. 规章、 合同 和 业务 要 求 ,对 记录 进行 保护 以 防 其 
丢失 .毁坏 、 伪 造 ., 未 授权 访问 和 未 授权 发 布 。 
控制 
应 依照 相关 的 法 律 .法 规 和 合同 条 款 的 要 求 , 以 确保 隐私 和 个 人 可 
识别 信息 得 到 保护 。 


控制 
密码 控制 的 使 用 应 遵从 所 有 相关 的 协议 、 法 律 和 法 规 。 















目标 ;确保 依据 组 织 策略 和 规程 来 实现 和 运行 信息 安全 。 


A.18.2.1 


A.18.2.2 


A.18.2.3 


信息 安全 的 独立 评审 


符合 安全 策略 和 标准 


技术 符合 性 评审 














控制 
应 按 计划 的 时 间 间 隔 或 在 重大 变化 发 生 时 ,对 组 织 的 信息 安全 管理 
方法 及 其 实现 (如 信息 安全 的 控制 目标 控制 .策略 .过 程 和 规程 ) 进 
行 独立 评审 。 
控制 
管理 者 应 定期 评审 其 责任 范围 内 的 信息 处 理 和 规程 与 适当 的 安全 
策略 .标准 和 任何 其 他 安全 要 求 的 符合 性 。 


控制 
应 定期 评审 信息 系统 与 组 织 的 信息 安全 策略 和 标准 的 符合 性 。 
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附 录 NA 
(资料 性 附录 ) 
GB/T 22080 一 2016 与 GB/T 22080 一 2008 版 对 比 


表 NA.1 GB/T 22080 一 2016 与 GB/T 22080 一 2008 版 对 比 表 


5.2.1 资源 提供 


4.2 理解 相关 方 的 需求 和 期 望 7.3 ”评审 输出 


监视 和 评审 ISMS 
总 则 
文件 控制 


4.3 确定 信息 安全 管理 体系 范围 


4.4 信息 安全 管理 体系 


4.2.1 建立 ISMS 
5.1 管理 承诺 
4.2.1 资源 提供 
4.3.2 ”总 则 

5.1 管理 承诺 
5.1 管理 承诺 


5.3 组 织 的 角色 ,责任 和 权限 4.3.3 ”记录 控制 
6ISMS 内 部 审核 





6.1 应 对 风险 和 机 会 的 措施 






有 
着 
i 

WR 
3 


4.2.1 建立 ISMS 
8.3 预防 措施 
4.2.1 建立 ISMS 
5.1 管理 承诺 
4.2.1 建立 ISMS 
4.2.2 ”实施 和 运行 ISMS 
4.2.3 监视 和 评审 ISMS 
4.3.1 总 则 

5.1 管理 承诺 






6.1.1 总 则 













6.1.2 ”信息 安全 风险 评估 















6.1.3 信息 安全 风险 处 置 













6.2 ”信息 安全 目标 及 其 实现 规划 








4.2.2 实施 和 运行 ISMS 
4.2.1 建立 ISMS 
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表 NA.1 ( 续 ) 





ee Sod, 2 2 RCR 人 EE I A ee Pe 
岂 当 i } es Ne 全 你 St a ww ET en i ee 关 全 的 人 i 
pr 和 人 A 2 se A ; a ~ . +» i 
i A i pm se ee Wd g ， 人 x 
2 et i pe Os Rp 人 Bs A 和 0 
3 re a TD RI “Ee > i ne A en a A er 
A ee Ne Tm en a eh SS i a a a 和 
和 ee Es NA i i ee a a be a Wd EA Pe 
7.2 能力 5.2.2 培训 意识 有 







4.2.2 ”实施 和 运行 ISMS 
5.1 管理 承诺 

5.2.2 培训、 意识 和 能 力 
4.2.4 a ISMS 


7.5 文件 化 信息 St 


4.3.2 


文件 控制 
7.5.3 文件 化 信息 的 控制 4.3.3 ”记录 控制 






























4.2.2 实施 和 运行 IMS 
4.3.3 记录 控制 

8.3 预防 措施 
4.2.3 监视 和 评审 ISMS 
4.3.1 ”总则 
实施 和 运行 ISMS 
4.3.3 ”记录 控制 









运行 规划 和 控制 














信息 安全 风险 评估 























信息 安全 风险 处 置 






4.2.2 ”实施 和 运行 ISMS 
4.2.3 监视 和 评审 ISMS 
4.2.3 监视 和 评审 ISMS 
4.3.1 总 则 
4.3.3 记录 控制 
6ISMS 内 部 审核 
4.2.3 ”监视 和 评审 ISMS 
5.1 管理 承诺 

5.2.1 资源 提供 

7.1 总 则 

7.2 评审 输入 

7.3 评审 输出 







9.1 监视 .测量 .分 析 和 评价 


9.2 内 部 审核 
















4.2.4 保持 和 改进 ISMS 
8.2 纠正 措施 
8.3 预防 措施 
4.2.4 保持 和 改进 ISMS 
5.2.1 资源 提供 
8.1 持续 改进 














10.1 不 符合 及 纠正 措施 


10.2 持续 改进 
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上 > CD DD 一 


附 录 NB 
(资料 性 附录 ) 
GB/T 22080 一 2016 与 GB/T 22080 一 2008 主要 关键 词 变 化 


Control “控制 措施 ” 改 为 “控制 ”。 

Implement “实施 ” 改 为 “实现 ” 

Maintain “保持 ” 改 为 “维护 ” 

asset owner “资产 责任 人 ” 改 为 “资产 拥有 者 ” 


[1] 
L2j 
[3] 
[4] 
[5] 
[6) 
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